Impossible de passer à côté de l’actualité de ces derniers jours, une panne informatique mondiale causée par une mise à jour défectueuse du logiciel de cybersécurité CrowdStrike a affecté plus de 8,5 millions d’ordinateurs sous Microsoft Windows dans de nombreux pays et provoquant d’importante perturbations dans le fonctionnement d’aéroports, de banques, hôpitaux et même dans le comité d’organisation des JO de Paris 2024. La société texane a annoncé avoir corrigé son programme, toutefois, certaines conséquences de la panne (comme des écrans bleus de la mort) étaient toujours présent chez les utilisateurs. Cette nouvelle affaire visant les géants américains doit nous alerter, en tant que français et européen, sur l’accélération de notre perte d’indépendance numérique. Loin d’être une fatalité, c’est avant tout un choix politique. Aujourd’hui, dans l’Hexagone, l'émergence de solutions françaises et sécurisées semble être la bonne alternative pour éviter les positions dominantes.
L’indépendance numérique
Bien que l'indépendance numérique complète puisse offrir certains avantages en termes de souveraineté et de contrôle, elle présente également de nombreux défis et coûts qui peuvent être prohibitifs pour de nombreuses organisations. Aujourd’hui, il est primordial voire urgent que les différents acteurs économiques et politiques réduisent leur dépendance en choisissant, comme des milliers d’utilisateurs l’ont déjà fait, des alternatives souveraines mais tout aussi robustes.
« Certains ordinateurs ont dû redémarrer plus de 15 fois pour espérer appliquer le correctif de CrowdStrike, le tout en passant par le fameux écran bleu de la mort ».
Réduire notre dépendance
Cette panne mondiale révèle toutefois deux éléments clés à ne pas prendre à la légère. Le premier, la fragilité des entreprises basées, à tous les niveaux, sur des architectures digitales hyperconnectées et, le second, la concentration dangereuse des solutions et services informatiques uniques qui rend possible un effondrement généralisé si les services d’un acteur clé venaient à tomber une nouvelle fois. A l’heure actuelle, pour les entreprises, il est inimaginable que leurs outils informatiques/numériques soient inutilisables pendant ne serait-ce que quelques heures. En effet, toute heure d’interruption de service peut se chiffrer en millions d’euros perdus sans parler des préjudices en termes d’image. En étant moins dépendant à une seule et unique solution et en déconcentrant les systèmes auprès de plusieurs acteurs, les entreprises réduisent la possibilité de se retrouver à l’arrêt total, comme cela a été le cas récemment. Pour résumer et dans le seul but de gagner en résilience et lutter contre cette dépendance mondiale qui fait porter un immense risque collectif, il est primordial voire impératif pour les acteurs économiques et politiques de revenir à des chaînes d’approvisionnement plus courtes et plus diversifiées.
Souveraineté numérique : la France doit devenir leader
Aujourd’hui, le cloud est devenu incontournable et concerne tous les secteurs d'activité. En pleine expansion, le marché du stockage des données est dominé par des prestataires étrangers et soumet les utilisateurs à diverses menaces. Face à ce constat, le gouvernement développe une stratégie cloud en trois axes pour accroître le niveau de sécurité, la qualité des services et son indépendance technologique. En matière de cloud de confiance, la BPI à notamment lancé un appel à projets nommé « renforcement de l’offre de services cloud » avec pour objectif de soutenir le renforcement de l’offre française. Comme l’indique la CNIL récemment dans un rapport, « Certaines données hébergées dans l’Union européenne ne devraient pas être sujettes à un risque d’accès non autorisé par des autorités d’États tiers ». A ce sujet, la Commission nationale de l'informatique et des libertés recommande aux sociétés de recourir à un prestataire exclusivement soumis au droit européen et offrant le niveau de protection adéquat. En France, pour les services d’informatique cloud, la certification SecNumCloud de l’ANSSI comprend ce critère et permet ainsi une protection des données contre les accès par des autorités étrangères. Plus que jamais, L’État à tout intérêt à orienter sa commande publique vers des solutions souveraines et favoriser le regroupement de professionnels au sein de consortium pour renforcer notre indépendance numérique, stimuler l’économie locale et améliorer notre sécurité en maîtrisant les risques cyber. Aujourd’hui, c’est plus qu’un choix à faire, il s’agit là pour le gouvernement de garantir la souveraineté numérique de notre pays.
Le casse-tête du DSI : concilier cloud et souveraineté
Bien qu’offrant des avantages certains, la migration vers le cloud engendre une dépendance envers les fournisseurs de services cloud et les solutions SaaS. Ladite dépendance s’explique notamment par un verrouillage technologique rendant complexe le changement de fournisseur, la perte de contrôle sur l’infrastructure, le risque de rupture de service et la dépendance vis-à-vis des données stockées. Pour atténuer ces risques, les DSI ont tout intérêt à miser sur des architectures multicloud ou hybrides, se traduisant par une répartition des applications sur plusieurs plateformes. Concernant les services Saas, il est recommandé aux entreprises de se rapprocher d’un acteur de proximité qui sera beaucoup plus disponible pour écouter les demandes, y répondre avec réactivité tout en proposant un accompagnement de proximité.
Comment héberger ses données dans le cloud ?
Avant d’héberger ses données dans un cloud, il est primordial pour les entreprises de prendre en considération certaines bonnes pratiques, à savoir : établir une stratégie de stockage, distinguer le stockage de la sauvegarde des données critiques ou encore, comprendre la différence entre stockage objet, bloc et de fichier. Concernant l’hébergement des données, le cloud est à privilégier pour les données non sensibles, à forte croissance, celles qui nécessitent une haute disponibilité ou encore celles utilisées par des équipes à distance. En ce qui concerne un service on-premise, il est recommandé d’y héberger les données hautement sensibles, celles soumises à des réglementations strictes ou encore celles nécessitant une faible latence. Quoi qu’il en soit, choisir un de ces deux modes d’hébergement reste une question complexe pour les DSI et il n’existe, à ce jour, pas de réponse unique. Chaque approche doit être personnalisée, dépendant de la nature des données et des exigences de sécurité de l’entreprise concernée. Le récent incident souligne la nécessité pour les DSI de revoir et renforcer leurs stratégies en matière de cloud computing. En mettant en œuvre de solides pratiques de gestion des risques, en renforçant les mesures de sécurité et en diversifiant les solutions de cloud (OVHcloud, Orange Business ou encore Outscale pour ne citer qu’eux), les entreprises pourraient mieux se protéger face à de nouvelles perturbations. Aujourd’hui, il est primordial que l’accent soit mis sur l’élaboration de stratégies de cloud résilientes, adaptables et testées en profondeur afin de pouvoir naviguer confortablement dans un univers numérique toujours plus complexe.
Aujourd’hui, le risque d’héberger ses informations et données dans un seul et même cloud est, qu’en cas de crash informatique comme celui-ci, l’un des plus importants de ces dix dernières années, l’ensemble des sociétés utilisatrices de ce type de services se retrouvent entièrement paralysées. En France, des alternatives souveraines et sécurisées existent. C’est notamment le cas de la suite collaborative Hexagone, solution française sécurisée SecNumCloud, niveau de sécurité certifié par l’ANSSI. En somme, la clé est d’avoir une stratégie de résilience robuste, incluant des solutions de sauvegarde diversifiées et un plan de continuité des activités bien défini. Cela permet aux organisations de réduire les risques associés aux pannes majeures et de maintenir leurs opérations critiques. Bien que de nombreuses solutions internationales soient largement utilisées, des alternatives françaises existent et ces dernières peuvent répondre aux différents besoins pour assurer la continuité des activités.
